CC BY
38
ЧЕБЫШЕВСКИЙ СБОРНИК Том 11 Выпуск 1 (2010)
Труды VII Международной конференции Алгебра и теория чисел: современные проблемы и приложения, посвященной памяти профессора Анатолия Алексеевича Карацубы
УДК 511.512
МОДЕЛИРОВАНИЕ РАНЦЕВЫХ КРИПТОСИСТЕМ, СОДЕРЖАЩИХ ДИОФАНТОВУЮ ТРУДНОСТЬ
В. О. Осипян, С. Г. Спирина, А. С. Арутюнян, В. В. Подколзин (г. Краснодар)
Аннотация
Рассматривается класс систем защиты информации с открытым ключом, в основе которых лежит модернизированная задача о ранце. Приводится различные модификации таких систем, содержащих диофантовы трудности.
The class of systems of protection of the information with public key based upon the modernised knapsack’s problem is considered. It is resulted various updatings of such systems containing Diophantos difficulties
Исходя из теоретических истоков построения стойких и эффективных систем защиты информации, отметим особо, что все математические задачи, да и не только они, являются системами сокрытия и защиты информации с заданными условиями, а сами решения указанных задач соответствуют правильным ключам. Что же касается вопроса решений, то они соответствуют испытанию или проверке правильного ключа. Стало быть, выбор подходящей задачи позволит строить систему защиты информации (СЗИ) на должном уровне, особенно если этот выбор, как отметил еще К. Шеннон [1], связан с задачей, которая содержит диофантовы трудности, или, в общем случае, принадлежит классу М’-полных задач.
Как известно [1, 2, 1], в основу всех ранцевых систем защиты информации (РСЗИ) положена NP-полная стандартная задача Ks об укладке ранца As = (al,a2,..., an) с натуральными компонентами ai; которая для заданного натурального числа v сводится к установлению существования или отсутствия двоичного вектора W = (а1, а2,..., ап) такого, для которого имеет место равенство: v = AsWT, хотя в общем случае можно рассмотреть более общую задачу Kw чем задача Ks ,
Для построения легкого подкласса РСЗИ на основе сверхрастущего ранца Р. Меркль и М. Хеллман [1] предложили "замаскировать" ранец с помощью
линейного преобразования последнего посредством сильного модульного умножения,
В протоколе Шора-Ривеета, в отличие от протокола Меркле-Хеллмана, ранец представляет собой набор логарифмов в мультипликативной группе расширенного поля и обладает повышенной плотностью по сравнению с ранцем Меркле-Хеллмана,
После вскрытия оригинальной схемы Меркле-Хеллмана было предложено множество других криптосистем, основанных на принципе укладки ранца, в частности, ранцы Грэм-Шамира и другие. Хотя многие эксперты скептически относятся к криптостойкости таких систем, на сегодняшний день существует все еще не вскрытая СЗИ, основанная на проблеме стандартного ранца К3 и много других ее вариантов усиления,
§1 Основные понятия, факты и обозначения
В отличие от существующих ранцевых криптосистем [2], в которых при определении входа (Л3, у) для некоторого натурально го числа V, те или иные компоненты классического ранцевого вектора Л3 либо присутствуют, либо пет, — в данной работе рассматривается и случай, когда они могут повторяться в соответствии по заданному спектру числовых значений.
Пусть
Ли (а1) а2) ■ ■ ■ , ап) (1)
— универсальный ранцевый вектор, состоящий из п натуральных компонентов аг, I = 1 ■■■ни (Ли, у) — вход задачи об универсальном ранце Ли. Пусть далее,
ZKt = (к\, к2,^ ■ ■ , кг),кг + к2 +-+ кг = н,Ь ^ н (2)
ZCp = (т,1,т2, ■ ■ ■,Шп)
— множества коэффициентов повторений компонентов универсального ранцевого вектора Ли и входа (Ли,у) соответственно. Здесь элемент кг, кг > 1, I =
1 ■■■ н — количество повторений компонентов ранга натурального числа аг в ранце Ли (Ь — количество его различных компонентов), а элемент тг Е ZCp удовлетворяет условиям 0 < тг < р — 1 и указывает максимальное значение коэффициента повтора при аг, I = 1 ■ ■ ■ н для определения входа (Ли, у), р ^ 2, р Е N где р — некоторое пороговое значение. Множества ZKt и ZCp назовем спектрами коэффициентов ранца и его входа соответственно. Значения множества ZCp иначе назовем каскадными значениями. В частпости если р = 2 и Ь = н, то ранец Ли совпадает со стандартным ранцем Л3 , а задача К3 с — Ки (всюду ни же Ь = н, т.е. ранец Ли без повторений).
Известные понятия и обозначения теории ранцевых систем имеются, например, в [2]. Некоторые необходимые новые понятия и определения приведем ниже.
Множество значений У^ І = 1 . . . П ДЛЯ которых ВХОДЫ (Ли,Уі) со спектром ZCp имеют решения, назовем допустимыми значениями и обозначим через Ули = {У0,Уі, . . . , Уі}. Количество всех допустимых числовых значений У (в частности у может быть и равным нулю) для ранцевого вектора Ли обозначим через ^(Ули) и назовем мощностью входа. Так как для од ного и того же у могут быть разные решения, то обозначим через ^(Ли) мощность различных решений
Ли
Ли
) = ^(Аи) = Ш + 1)(т2 + 1)... (тп + 1) (3)
и имеет место соотношение;
2 )—1
тгаг + т2а2 Н--------Ь тпап = У" Vi (4)
^( и) г=0
из которого следует, что если:
1, Аи — стандартный ранец, то р = 2, тг = т2 = ■ ■ ■ = тп = 1,у(Аи) = 2п и
2П —1
1
2п~1
аг + а2 Н------------Ь ап = —^ ^ Уі (5)
і=0
2, Ли — обобщенный ранец, то ті = т2 = ■ ■ ■ = тп = р — 1,у(Ли) = рп и
2 р"-1
аі + а2 Н-----Ь ап = —--------— V" Уг (6)
рп(р — 1) ^
і=0
Теорема 1. Существует класс ранцевых криптосистем с открытым ключом на, основе проблемы об универсальном ранце Ки.
Доказательство. Доказательство данной теоремы аналогично доказательству существования ранцевых криптосистем с открытым ключом на основе классической задачи о ранце К3.
Из Теоремы 1, в частности, следует: если универсальный ранцевый вектор Ви = (Ьг, Ь2,..., Ьп обобщенно сверхрастущий, т.е. Ь' ^ ^'=1 (р — 1)Ьг , для всех ] = 2... п, то можно предложить РСЗИ, из которой, в частности при р = 2 и Ь = п следует криптосистема Меркле-Хеллмана [2].
Введем также следующее определение функционального ранца размерности п от Ь ^ 1 переменных и рассмотрим некоторые его свойства, который позволяет упростить описание РСЗИ и построить новые:
Л(хі,х2,... ,Хі) = (аі(хі,х2,... ,Хі),а2(хі,Х2,... ,Хі),... ,ап(хі,Х2,...
где ai(x1,x2,..., х^, г =1.. .п целозначные функции, принимающие, в частности, натуральные значения.
Так, например, функциональный ранец А(х, у) размерности п от двух переменных х и у
А(х, у) = (х,х + у, 2х + у + 1, 4х + 2у + 2,..., 2п-1х + 2п-2(у + 1))
является сверхрастущим для каждой пары натуральных значений х и у. Так, х = 1 у = 2
А(1, 2) = (1, 3, 6,12,..., 5 * 2п-2) - сверхрастущий для любого допустимого п.
Для построения эффективных ранцевых систем защиты информации с открытым ключом мы предлагаем диофантовы трудности, возникающие при решении многостепенных систем диофантовых уравнений высоких степеней типа Тарри-Эскота [4],[5]:
{х1 + х2 +-----+ хт = у1 + у2 +--------+ ут
х1 + х\ + ■■■ + х1г = у2 + у2 + ■ ■■ + у2т
хп + хп + ■■■ + хпт = уп + уп + ■■■ + ут
или в компактной записи -
х1,х2, ... ,хт =п у1,у2, . . . ,ут, 1 < П ^ Ш (7)
Для моделирования новых ранцевых криптосистем в зависимости от основных параметров тип, необходимо учитывать либо сложность решения системы (7), либо сами взаимно-простые решения
а1■> а2■> . . . , ат Ь1■> Ь2■> . . . , Ьт, (а1, а2, . . . , ат, Ь1, Ь2, . . . , Ьт) 1 (8)
либо и то, и другое одновременно.
Для простоты изложения на протяжении всей работы будем считать, что
аЬ
аг = аг(а,Ь),Ьг = Ьг(а,Ь),г = 1.. .т, как это видно из приведенного ниже примера , причем, это обозначение одновременно будет соответствовать и числовому решению системы (7),
Предварительно заметим: по полученному решению восстановить исходные параметры за приемлемое время не представляется возможным. Кроме того, на практике вычисления производятся для достаточно больших натуральных чисел, так что стандартные средства вычислений зачастую неприменимы. Эта специфика позволяет использовать данную технологию для по-строения новых ('311. содержащих диофантовы трудности.
Далее, сопоставим каждому двупараметрическому решению (8) системы (7) два функциональных ранца А = (а1,а2,..., ат) и В = (Ь1,Ь2,..., Ьт). Мы говорим, что два числовых ранца А и В размерности т ^ 3 равносильны между
собой и имеют степень п, если компоненты ранцев А и В представляют решение диофантова уравнения (7), Данный факт будем записывать так:
А =п В
или
(а1, а2, . . . , ат) (Ь1, Ь2? . . . 1 Ьт) (9)
или более кратко - Ет,п(а, Ь), в силу того, что аг = аг(а,Ь),Ьг = Ьг(а,Ь),г =
1... т
С помощью несложных процедур теории диофантового анализа [4, 5] на основе (8) для любого £ ^ 1 можно порождать новую пару равносильных ранцев степени п + £ размерности к = 2ьт вида,:
(а1,а2,... ,ак) =п+ь (Ь1,Ь2,... М),Ь ^ 1,1 < п + £ < к
Полученные таким образом равносильные ранцы назовем расширенными равносильными ранцами.
Так, например, следующие функциональные ранцы Р5>4(а,Ь):
(19а + Ь, 15а + 5Ь, 11а + 9Ь, 3а + 17Ь, 2а + 18Ь) =4
=4 (а + 19Ь, 5а + 15Ь, 9а + 11Ь, 17а + 3Ь, 18а + 2Ь)
т = 5 п =
задает соответственно следующие равносильные числовые ранцы
А = (2, 3,11,15,19) =4 (1, 5, 9,17,18) = В.
Из (10) можно получить сколь угодно много равносильных числовых ранцев размерности т = 5 степени п = 4, придав параметрам а и Ь различные целые,
аЬ
образом, чтобы один или оба числовых ранца были инъективными. Это условие необходимо для построения эффективных СЗИ,
§2 Алгоритм генерации функциональных равносильных ранцев
Приведем алгоритм генерации функциональных равносильных ранцев согласно утверждениям, приведенным в [1, 2, 3], который можно применить непосредственно к построению нестандартных РСЗИ, в качестве ранцев которых выступают соответствующие им числовые равносильные ранцы.
Алгоритм 2.1. Генерация функциональных равносильных ранцев. Процедура Р11. (Построение универсальных равносильных ранцев). Вход. Равносильные функциональные ранцы А = (а1, а2,..., а\) и В = (Ь1,Ь2,..., Ь) размерности I степени к.
Выход. Универсальные равносильные ранцы размерности I степени к : А =к
В
Метод.
(10)
4 а Р5,4(0, ^
1, Выбрать два произвольных целых значения параметров а и в одновременно не равных нулю,
2, Построить универсальные равносильные ранцы А и В размерности I степени к то правилу: А ^ а А + в В В ^ аВ + в А
Результат Ш,: Универсальные равносильные ранцы А и В размерности I к
Процедура Т11. (Построение расширенных равносильных ранцев).
Вход. Равносильные функциональные ранцы А = (а1, а2,... ,аг) и В = (Ь1,Ь2,..., Ьг) размерности I степени к.
Выход. Равносильные ранцы размерности 21 степени к + 1 А =к+1 В. Метод.
а
2, Построить равносильные ранцы размерности 21 степени к + 1 по правилу: А ^ А * (В + а), В ^ В * (А + а),
где А * В = (а1,а2,..., аг, Ьь Ь2,..., Ьг), А + а = (а1 + а,а2 + а,... ,аг + а).
Результат ТИ: Расширенные равносильные ранцы А и В размерности 21 степени к + 1,
Процедура 1Т11 (основная), (Генерация функциональных равносильных ранцев).
тп
уравнений (7),
т п А =п В
Метод.
1, Полагать I ^ 2, к ^ I — 1 .
2, Определить А = (а1, а2,..., аг) и В = (Ь1,Ь2,... ,Ьг) таким образом, чтобы
А =к В
3, Определить наибольшее целое £ такое, что т = 2*1, п = к + £,
4, Процедура ТИ.
Проверить условие: (I = т) Л (к1 = п)
Если истинно, то перейти к Процедуре ЕИ: Результат 1ТИ.
иначе I ^ 21, к ^ к + 1 и перейти к шагу 4,
5, Проверить условие: (I > т) V (к > п)
Если истинно, то задача не имеет решений,
6, Полагать I ^ I + 1 к ^ к + 1 и перейти к шагу 2,
Результат ITR: Равносильные ранцы размерности m степени и: A =n B.
Теорема 2. Пусть имеются две пары равносильных числовых ранца, первая из которых представляет собой произвольное параметрическое решение
и
m
1. (ai,a2, ■ ■ ■, an) =n (bi,b2,■■■, bn), (или A =n B), 1 < и < m;
2. (ci, c2, ■ ■ ■, ck) =n+t (di, d2, ■ ■ ■, dk), (или C =n+t D), t ^ 1, 1 < и + t < k
Тогда, задача, о равносильных числовых ранцах (A,v) (или (B,v)) разрешима, и ее решение совпадает с решением для, входа, (C,v) (или (D,v)).
Доказательство. Справедливость данной теоремы непосредственно сле-
A B C D функцнональных равносильных ранцев).
Важно отметить, что целесообразно рассмотреть такие СЗИ, для которых расширенные и универсальные равносильные числовые ранцы (Процедуры FR и TR) могут быть использованы в качестве открытых ключей, а ео-ответетвенно исходные простые ранцы (соответствующим взаимно-простым решениям исходной системы) - в качестве закрытых. Причём, в отличие от стандартного сильного модульного умножения для ранцевых систем, здесь можно предусмотреть и сложение по модулю r > max(a, b), где a > max(ai), b > max(bi) с соответствующими ограничениями для операции по заданному модулю, что и представляет операция универсального сильного модульного умножения. Кроме того, в зави-
ab
как инъективными, так и нет. В случае инъективных ранцев следует рассмотреть моноалфавитную СЗИ. В противном случае - рассмотреть полиалфавит-ную СЗИ, либо одинаковые шифры исключить из рассмотрения.
Отметим также, что многие ранцевые алгоритмы зашифрования и расшифрования корректно могут быть распространены и применены для нестандартных ранцев, приведенных выше.
СПИСОК ЦИТИРОВАННОЙ ЛИТЕРАТУРЫ
[1] К. Шеннон. Работы по теории информации и кибернетики. М.: ИЛ, 1963.
[2] A. Salomaa, Public-Key Cryptography Springer-Verlag Berlin Heidelberg New York London Paris Tokyo Hong Kong Barcelona.
[3] Merkle R., Heilman M. Hiding information and signatures in trapdoor knap-sacks // IEEE Transactions on Information Theory. 1978. Vol. IT - 24. P. 525-530.
[4] A. Gloden. Mehrgradide Gleichungen. Groningen, 1944.
[5] L.E. Dickson, History of the Theory of Numbers, vol.2, Diophantine Analv-sis, N.Y.1971.
[6] B.O, Осипян, Об одном обобщении рюкзачных криптосистем // Изв, ву-зов, Сев.-Кавк, регион. Техн. науки, 2003, Приложение №5, С, 18-25,
Кубанский государственный университет Получено 18.05.2010
